ОРИ: кто такие организаторы распространения информации и как выполнить требования закона в 2024

1920x1080 ОРИ_ как выполнить требования закона.jpg

В этой статье мы разберем понятие «организатора распространения информации в сети Интернет‎‎‎», расскажем, какие требования к ним предъявляет закон и предложим новую услугу от DDoS-Guard, которая поможет значительно облегчить жизнь.

Кто такие организаторы распространения информации

Организатор распространения информации в сети Интернет (далее ОРИ) — термин для российского законодательства относительно новый. Он был введен в 2014 году в статье 10.1, которую добавили к Федеральному закону от 27.07.2006 N 149-ФЗ. Эта статья дает определение, кто является ОРИ, и регулирует его обязанности перед законом.
 

Согласно законодательству, ОРИ — это любое физическое или юридическое лицо, владеющее сайтом, на котором присутствует возможность коммуникации между пользователями.

При этом тип коммуникации может быть разным. Данное в законе определение позволяет трактовать это понятие достаточно широко. Например, под определение подпадает как механизм обмена сообщениями, так и возможность оставления публичных пользовательских комментариев (отзывов, обратной связи).

 

Реестр организаторов распространения информации в сети Интернет

ОРИ, действующие на территории РФ, должны быть включены в соответствующий реестр, созданный в 2014 году. Изначально в него записывали крупные сервисы, созданные для общения, например, соцсети и популярные коммуникационные площадки. Затем Роскомнадзор начал включать в реестр и другие сайты, где есть возможность комментирования, например, СМИ.

У компании или физлица есть два способа попасть в реестр ОРИ.

Первый способ — добровольный. В этом случае человек или организация, которые понимают, что они по закону подходят под критерии ОРИ, пишут заявление в Роскомнадзор и просят включить себя в реестр. После этого новый участник реестра обязуется соблюдать все обязанности в качестве ОРИ, которые прописаны в федеральном законе.

Второй способ — принудительный. Если сайт или сервис подходит под критерии ОРИ, но владелец не спешит об этом уведомлять государство, он может дождаться официального уведомления от Роскомнадзора. Надзорный орган реагирует на обращения ФСБ о том, что ресурс не соблюдает требования закона, и присылает его владельцу уведомление о необходимости подать документы в реестр через форму на сайте Роскомнадзора. Получатель письма обязан подать документы в течение 10 дней, в противном случае он будет нести ответственность по закону — в частности, доступ к сайту могут заблокировать.

 

На кого распространяются требования законодательства

К ОРИ относятся в первую очередь:

  • соцсети (но не паблики в них);
  • мессенджеры;
  • игровые сервисы;
  • файловые хранилища;
  • видеохостинги;
  • сайты знакомств;
  • СМИ, онлайн-магазины и сайты с наличием обратной связи (пользовательских рецензий, отзывов, комментариев);
  • блоги, если в них есть комментарии;
  • площадки объявлений.

Вместе с тем, как было сказано выше, ОРИ достаточно широкое понятие, в которое может быть включен практически любой современный сайт.

 

Какие документы регулируют деятельность ОРИ

Приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 29.10.2018 г. № 571 «Об утверждении Требований к оборудованию и программно-техническим средствам, используемым организатором распространения информации в сети Интернет в эксплуатируемых им информационных системах, для проведения уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, мероприятий в целях реализации возложенных на них задач»
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (PDF)
Постановление Правительства РФ от 26.02.2022 № 256 «Об утверждении Правил хранения организатором распространения информации в информационно-телекоммуникационной сети «Интернет» текстовых сообщений пользователей информационно-телекоммуникационной сети «Интернет», голосовой информации, изображений, звуков, видео-, иных электронных сообщений пользователей информационно-телекоммуникационной сети «Интернет» (PDF)
Постановление Правительства РФ от 12.11.2020 № 1824 «Об утверждении Правил уведомления организаторами распространения информации в информационно-телекоммуникационной сети «Интернет» Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций о начале осуществления деятельности по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей информационно-телекоммуникационной сети «Интернет», а также ведения реестра указанных организаторов» (PDF)
Постановление Правительства РФ от 20.10.2021 № 1801 «Об утверждении Правил идентификации пользователей информационно-телекоммуникационной сети «Интернет» организатором сервиса обмена мгновенными сообщениями» (PDF)
Постановление Правительства РФ от 23.09.2020 № 1526 «О Правилах хранения организаторами распространения информации в информационно-телекоммуникационной сети «Интернет» информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков, видео- или иных электронных сообщений пользователей информационно-телекоммуникационной сети «Интернет» и информации об этих пользователях и предоставления ее уполномоченным государственным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации» (PDF)

Полный перечень нормативных актов, регулирующих деятельность ОРИ, есть на официальном сайте Роскомнадзора.

Также по смыслу ОРИ тесно связаны с двумя законопроектами 2016 года, известными как пакет или закон Яровой.

 

Что такое «закон Яровой»

«Пакет Яровой» (он же «закон Яровой», по имени автора, депутата Ирины Яровой) — устоявшееся в СМИ неофициальное название пакета законодательных поправок. Эти антитеррористические инициативы были приняты в 2016 году и касаются нескольких разных сфер. Нас интересует та часть поправок, которая обязывает операторов связи и ОРИ с 1 октября 2018 года хранить переписку, телефонные звонки, исходящий трафик и метаданные всех российских пользователей, а также предоставлять эти данные по запросу спецслужб. Контент должен храниться в течение полугода, метаданные — в течение трех лет.

 

Правила хранения данных ОРИ

Организаторы распространения информации по закону обязаны:

  1. Хранить на территории РФ в течение одного года информацию о фактах приема, передачи, доставки или обработки всех сообщений от пользователей (включая тексты, голосовые сообщения, видео и т.д.) и информацию об этих пользователях.
  2. В течение шести месяцев хранить сами сообщения пользователей и содержащиеся в них файлы-вложения.
  3. Предоставлять эту информацию государственным органам, которые осуществляют оперативно-розыскную деятельность, в первую очередь ФСБ.
  4. Предоставлять ФСБ при надобности информацию для декодирования электронных сообщений (ключи шифрования).
  5. Разработать программу взаимодействия с ФСБ, назначить сотрудника, ответственного за это взаимодействие, и установить специализированное оборудование для обеспечения удаленного доступа ФСБ.

 

Ответственность ОРИ за невыполнение требований в 2024

Штрафы за неисполнение обязанностей ОРИ прописаны в статье 13.31 Кодекса об административных правонарушениях.

За отказ добровольно войти в реестр ОРИ (ч.1 ст. 13.31) предусмотрены штрафы до 300 тысяч рублей для юрлиц, за повторное нарушение до 1 млн рублей.

Еще более серьезные санкции предусмотрены (ч.ч. 2-2.1 ст. 13.31 КоАП) за отказ хранить или предоставлять ФСБ информацию о фактах приема, передачи, доставки или обработки сообщений пользователей и информацию о самих пользователях, а также за отказ представлять ФСБ ключи для декодирования сообщений: до 1 млн рублей юрлицам за первое нарушение и до 6 млн рублей за повторное.

Аналогичные штрафы влечет за собой и отказ устанавливать специализированное оборудование для выполнения закона Яровой.

 

Как выполнить требования законодательства к ОРИ в 2024

  • Проверьте, подходите ли вы под требования законодательства к ОРИ.
  • Если это так, подайте заявление о вступлении в реестр.
  • Установите специализированное оборудование для хранения и передачи данных.
  • Организуйте взаимодействие с ФСБ и передайте им при необходимости ключи шифрования.
  • После регистрации в реестре соблюдайте требования закона к ОРИ.

 

Дмитрий Никонов — эксперт DDoS-Guard по вопросам защиты веб-приложений — подробно рассказал в интервью AM Live о том, какую ответственность ресурсы из реестра ОРИ несут в случае несоответствия техническим требованиям и как их выполнить.

 

Решение DDoS-Guard: как мы поможем ОРИ

Благодаря своему опыту в построении высоконагруженных систем DDoS‑Guard предлагает уникальное решение по обработке ключей шифрования для ОРИ — как дополнительный модуль услуги «Защита сайта от DDoS-атак».

Плюсы передачи всего процесса хранения и обработки ключей шифрования к нам на аутсорс:

  • Быстрое внедрение решения, так как этап пусконаладки упрощается за счет имеющегося у нас опыта.
  • Снизится нагрузка на инженеров компании, занимающихся поддержанием работоспособности систем.
  • Уменьшаются затраты на первоначальное внедрение в случае, когда под решение потребовалась бы закупка дополнительного оборудования — у нас клиент платит только за тот объём, что будет фактически использован.

 

Что такое обработка ключей шифрования

Это решение позволяет выполнить требования закона по хранению, обработке и передаче данных, которые предоставляют пользователи при установлении сессии с сайтом и/или информационной системой.

Как это работает

Передача информации для декодирования (ИД) производится напрямую в режиме реального времени с применением фильтра от устройств предварительной обработки потоков на комплекс технических средств (КТС) через программно-аппаратный комплекс (АПК) получения информации для декодирования.

При установлении сессии с защищаемым сайтом, пользователь предоставляет DDoS-Guard свой цифровой отпечаток (ключ шифрования). Мы можем обеспечить безопасное хранение этих данных и возможность регулятору забирать их по API. Если клиент желает самостоятельно организовать хранение, мы можем передавать данные клиенту, а он — напрямую регулятору.

Схема работы сервиса обработки ключей шифрования — DDoS-Guard
Принцип работы сервиса обработки ключей шифрования — DDoS-Guard

Как рассчитывается стоимость услуги

Стоимость услуги рассчитывается индивидуально для каждого проекта, исходя из необходимого количества ресурсов для получения ИД и объема данных для ее хранения.

Как заказать услугу

Для заказа услуги оставьте заявку на сайте, свяжитесь с нами по телефону +7 (800) 333-17-63 или напишите нам на info@ddos-guard.net.

Законодательство требует, чтобы ОРИ соблюдали обязанность хранить и передавать данные пользователей, а также ключи шифрования. За несоблюдение этих требований юрлицам грозят серьезные штрафы. Удобное решение — отдать обработку ключей шифрования на аутсорс в составе услуги защиты от DDoS-атак. Таким образом, вы не только защитите свой сайт, но и выполните требования законодательства к ОРИ.

Поделиться:

Читайте также

Обложка статьи: Slowloris сессионная атака

Статьи

Скрытый враг: что такое Slowloris-атака и чем она опасна

Рассказываем об особенностях DDoS-атаки Slowloris и делимся рекомендациями по противодействию

7 мин
186
Обложка: Алгоритмы сжатия данных

Статьи

Алгоритмы Brotli, рекомпрессия и при чем тут швейцарские булочки

Расскажем, какие алгоритмы сжатия мы выбираем для работы и почему это важно для быстрой работы ваших ресурсов

3 мин
1244
Обложка: Знаменитые DDoS-атаки

Статьи

10 крупнейших DDoS-атак в истории

Рассказываем о самой крупной кибератаке за всю историю и других актах цифровой агрессии, их причинах и последствиях.

13 мин
1045